1. Термины и общие положения
Политика применяется к сайту, личному кабинету, веб-интерфейсу Терминала, административным и пользовательским модулям, а также к иным сервисам Оператора, через которые Пользователь получает доступ к Терминалу.
Политика разработана с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иных применимых нормативных актов Российской Федерации и фактической модели работы Сервиса.
Политика является публичным документом. Актуальная редакция размещается в свободном доступе по адресу, указанному в верхней части настоящего документа.
2. Статус Оператора и применимая модель обработки
Оператор самостоятельно определяет цели обработки персональных данных, состав обрабатываемых данных и действия, совершаемые с такими данными, в пределах, необходимых для работы Сервиса, исполнения договора с Пользователем, обеспечения безопасности, технической поддержки и защиты прав Оператора.
Терминал является программным сервисом, предоставляющим пользователю интерфейс и технические инструменты для работы с собственным аккаунтом и, при наличии соответствующей функции, с собственным брокерским счетом Пользователя через ключ доступа к программному интерфейсу, самостоятельно выпущенный Пользователем у брокера.
Данные, получаемые через ключ доступа к программному интерфейсу конкретного Пользователя, используются для отображения и обработки в рамках аккаунта такого Пользователя и не используются Оператором для обслуживания иных пользователей или создания общего пула данных.
Оператор не является брокером, биржей, депозитарием, инвестиционным советником, поставщиком рыночных данных или представителем брокера, если иное прямо не указано в документах Сервиса.
3. Категории субъектов персональных данных
Оператор может обрабатывать персональные данные следующих категорий субъектов:
посетителей сайта;
зарегистрированных пользователей Сервиса;
пользователей, активирующих лицензию или подписку;
пользователей, обращающихся в службу поддержки;
представителей юридических лиц и индивидуальных предпринимателей, если доступ предоставляется корпоративному клиенту;
пользователей, подключающих к Сервису собственные брокерские аккаунты, ключи доступа к программному интерфейсу или иные средства авторизации сторонних сервисов.
4. Какие данные могут обрабатываться
В зависимости от сценария использования Сервиса Оператор может обрабатывать следующие категории данных:
Оператор не ставит своей целью обработку специальных категорий персональных данных, включая сведения о расовой или национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья и интимной жизни. Оператор также не ставит своей целью обработку биометрических персональных данных. Пользователь не должен направлять такие сведения через Сервис, если это не требуется для конкретного законного сценария и не оформлены необходимые отдельные согласия.
Оператор не хранит полные реквизиты банковских карт Пользователей, если платежи обрабатываются платежным агрегатором, банком-эквайером или иным платежным провайдером. В таком случае Оператор получает только сведения, необходимые для подтверждения оплаты, учета заказа и исполнения обязательств.
5. ключи доступа к программному интерфейсу брокеров и чувствительные средства доступа
Если функциональность Сервиса предусматривает подключение брокерского аккаунта, Пользователь самостоятельно выпускает ключ доступа к программному интерфейсу, ключ или иное средство авторизации у соответствующего брокера или стороннего сервиса и самостоятельно вводит его в интерфейсе Сервиса.
Пользователь самостоятельно выбирает объем прав ключа доступа к программному интерфейсу. Оператор рекомендует использовать минимально необходимый объем прав: для просмотра данных — ключ только для чтения, для торговых функций — ключ с торговыми правами только при осознанной необходимости.
Оператор обрабатывает ключи доступа к программному интерфейсу и связанные с ними технические данные исключительно в целях подключения аккаунта Пользователя к Сервису, выполнения команд Пользователя, отображения данных Пользователя, обеспечения безопасности и диагностики работы интеграции.
При наличии технической возможности Оператор применяет меры защиты ключей доступа к программному интерфейсу, включая ограничение доступа, шифрование, разграничение прав, журналирование высокорисковых действий и отзыв/сброс доступа при подозрении на компрометацию.
Пользователь вправе в любой момент отозвать ключ доступа к программному интерфейсу в личном кабинете соответствующего брокера или стороннего сервиса. После отзыва ключа часть функций Сервиса может стать недоступной.
6. Цели обработки персональных данных
Оператор обрабатывает персональные данные для следующих целей:
регистрация Пользователя и создание аккаунта;
идентификация Пользователя в пределах, необходимых для предоставления доступа;
предоставление доступа к Сервису, лицензии, подписке и функционалу Терминала;
исполнение публичной оферты, пользовательского соглашения, правил подписки и иных документов Сервиса;
обработка платежей, учет подписки, направление чеков и уведомлений;
подключение пользовательских интеграций, в том числе брокерских программных интерфейсов, если такая функция используется Пользователем;
отображение данных, доступных Пользователю через его собственный аккаунт и ключ доступа к программному интерфейсу;
обеспечение информационной безопасности, предотвращение злоупотреблений, предотвращение мошенничества, предотвращение передачи учетных данных третьим лицам, подбора учетных данных, автоматизированный сбор данных, исследование или восстановление внутренней логики сервиса и иных нарушений;
ведение журналов безопасности, фиксация принятия документов, расследование инцидентов и спорных ситуаций;
техническая и клиентская поддержка;
улучшение стабильности, надежности, качества и безопасности Сервиса;
исполнение требований законодательства, судебных актов и законных запросов государственных органов.
7. Правовые основания обработки
В зависимости от конкретной цели обработка персональных данных может осуществляться на следующих основаниях:
исполнение договора, стороной которого является Пользователь, включая публичную оферту, пользовательское соглашение и правила подписки;
согласие Пользователя на обработку персональных данных, когда такое согласие требуется законом или выбранной моделью обработки;
исполнение обязанностей, возложенных на Оператора законодательством;
осуществление прав и законных интересов Оператора, в том числе защита Сервиса, расследование нарушений, предотвращение злоупотреблений и защита прав в спорных ситуациях, при условии соблюдения прав и свобод Пользователя.
Согласие на обработку персональных данных оформляется отдельно от иных документов, подтверждаемых или принимаемых Пользователем, если такое согласие используется как основание обработки.
Обработка персональных данных для рекламных рассылок, маркетинговых сообщений и иных необязательных коммуникаций осуществляется только при наличии отдельного согласия Пользователя, если такое согласие требуется применимым законодательством. Пользователь вправе отказаться от таких сообщений способом, указанным в сообщении или интерфейсе Сервиса.
8. Действия с персональными данными
Оператор может совершать с персональными данными следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу в случаях, предусмотренных настоящей Политикой, обезличивание, блокирование, удаление и уничтожение.
Обработка может осуществляться с использованием средств автоматизации и без использования таких средств.
При сборе персональных данных граждан Российской Федерации с использованием сети Интернет Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации, если иное не допускается применимым законодательством.
9. Куки-файлы, аналитика и технические идентификаторы
Сайт и Сервис могут использовать куки-файлы, локальное хранилище браузера, сессионные идентификаторы и иные технические средства, необходимые для авторизации, сохранения настроек, безопасности, предотвращения злоупотреблений и анализа стабильности работы.
Пользователь может ограничить использование куки-файлов настройками браузера, однако это может привести к недоступности отдельных функций Сервиса или невозможности авторизации.
10. Передача данных третьим лицам
Оператор может передавать персональные данные и иную информацию третьим лицам только в объеме, необходимом для целей обработки, указанных в настоящей Политике, либо в случаях, предусмотренных законом.
К таким лицам могут относиться:
провайдеры хостинга, серверной инфраструктуры, облачных сервисов и сетевой защиты;
платежные агрегаторы, банки-эквайеры, операторы фискализации и сервисы электронных чеков;
провайдеры электронной почты, сообщений, уведомлений в интерфейсе и мессенджер-интеграций;
сервисы технической поддержки, системы управления клиентскими обращениями, логирования, мониторинга и сбора сведений о сбоях;
подрядчики по информационной безопасности, аудиту, расследованию инцидентов и обслуживанию инфраструктуры;
государственные органы, суды, правоохранительные органы и иные лица в случаях и порядке, предусмотренных законом.
Если третье лицо обрабатывает персональные данные по поручению Оператора, Оператор обеспечивает наличие договора или иного правового основания, предусматривающего обязанность такого лица соблюдать конфиденциальность, принимать необходимые меры защиты персональных данных и обрабатывать данные только в пределах поручения Оператора.
Оператор не продает персональные данные Пользователей третьим лицам.
Оператор не использует ключи доступа к программному интерфейсу одного Пользователя для предоставления данных или функциональности другим пользователям Сервиса.
11. Хранение персональных данных
Персональные данные хранятся не дольше, чем этого требуют цели обработки, условия договора, требования законодательства, бухгалтерского, налогового и претензионного учета, а также необходимость защиты прав Оператора и расследования инцидентов.
Сроки хранения:
По истечении сроков хранения персональные данные удаляются, уничтожаются, обезличиваются или архивируются в объеме, допустимом применимым законодательством и необходимом для защиты прав Оператора.
12. Защита персональных данных
Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
В зависимости от архитектуры Сервиса такие меры могут включать:
разграничение доступа и ролевую модель;
аутентификацию, многофакторную аутентификацию, ПИН-код и дополнительное подтверждение;
шифрование чувствительных секретов и ключей доступа;
журналирование административных и высокорисковых действий;
лимитов частоты запросов, предотвращение злоупотреблений и выявление подозрительных событий;
резервное копирование, мониторинг, оповещение и управление инцидентами;
сброс, перевыпуск, отзыв и блокировку доступа при риске компрометации;
ограничение доступа сотрудников и подрядчиков по принципу необходимости.
13. Фиксация принятия документов
Для доказуемости принятия пользователем условий Сервиса Оператор может фиксировать факт принятия публичной оферты, пользовательского соглашения, настоящей Политики, согласий и иных документов.
В рамках такой фиксации могут храниться: идентификатор пользователя или лицензии, тип документа, редакцию документа, дату и время принятия, IP-адрес, сведения о браузере и устройстве, идентификатор сессии, этап принятия и технический способ подтверждения.
Такая фиксация необходима для исполнения договора, разрешения спорных ситуаций, защиты прав Оператора и подтверждения правомерности обработки.
14. Права Пользователя
Пользователь вправе в случаях и порядке, предусмотренных применимым законодательством:
получать сведения об обработке его персональных данных;
требовать уточнения, блокирования или уничтожения персональных данных, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отозвать согласие на обработку персональных данных, если обработка осуществляется на основании согласия;
обратиться к Оператору с запросом по вопросам обработки персональных данных;
обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд.
Отзыв согласия или требование об удалении данных может повлечь невозможность дальнейшего использования Сервиса, если соответствующие данные необходимы для предоставления доступа, исполнения договора, безопасности или выполнения требований закона.
15. Порядок обращения к Оператору
В обращении рекомендуется указать: Ф.И.О. или идентификатор аккаунта, контактный адрес, суть запроса, сведения, позволяющие идентифицировать Пользователя в Сервисе, и при необходимости документы, подтверждающие полномочия представителя.
Оператор рассматривает обращения в сроки, предусмотренные применимым законодательством, и вправе запросить дополнительную информацию, если без нее невозможно идентифицировать заявителя или исполнить запрос.
16. Уведомление Роскомнадзора и публичность Политики
До начала обработки персональных данных Оператор направляет уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных, если к деятельности Оператора не применимо предусмотренное законом исключение. При наличии трансграничной передачи персональных данных Оператор отдельно выполняет требования к уведомлению о такой передаче до ее начала, если это требуется применимым законодательством.
Оператор обеспечивает неограниченный доступ к настоящей Политике путем размещения ее на сайте Сервиса или иным доступным способом.
17. Изменение Политики
Оператор вправе изменять настоящую Политику в связи с изменением законодательства, архитектуры Сервиса, перечня обрабатываемых данных, подрядчиков, целей обработки или мер безопасности.
Новая редакция Политики вступает в силу с момента публикации, если иной срок не указан в новой редакции.
Если изменения требуют получения нового согласия Пользователя, Оператор обеспечивает получение такого согласия отдельно в предусмотренном законом порядке.